一、项目背景
XXXX是国家的重要政府部门,辖内现有共30个司局,办公人员总数约1500人。经过多年的建设,XXXX已经形成了比较完善的内网、纵向网和外网业务网络。其中:
★ 内网是XXXX机关 内部办公网,是涉密网络,与互联网物理隔离。
★ 纵向网是以XXXX为中心节点,连接覆盖全国的各省、自治区、直辖市、副省级省会城市、计划单列市的XXXX所属各级单位和部门。纵向网是涉密网络,与互联网物理隔离。
★ 外网是XXXX工作人员访问互联网,及时了解国际、国内重要信息,并与外界进行必要的沟通、联系的重要渠道。
由于XXXX本身职能的特殊性,对信息系统的安全性要求很高,因此在XXXX网络中部署了很多信息安全产品来加强整体安全性。这些安全产品虽然确实可以解决一些较为紧迫的安全问题,如病毒泛滥、黑客攻击等,但是仍然不够完善,网络中仍然存在一定的安全风险,例如:缺乏内网安全管理机制,不能对内部用户滥用网络系统资源或外界人员绕过边界安全控制设施进行的各种非法操作行为进行有效的监控和审计;缺乏集中的安全管理平台和流程化的安全事件处理机制,现有的各种安全防护机制彼此孤立,不能够有效互动和统一协调地工作。
在充分认识到安全管理方面的不足之后,XXXX决定通过部署专业的安全产品来加强内网桌面计算机系统的安全管理和实现集中的网络信息安全监控。
二、信息系统描述
XXXX办公网包括相对独立的内网、纵向网和外网三部分,各网络核心交换机和服务器主机均放置于主楼的主机房,各网络的用户接入交换机和信息点分布于各个办公楼层中。此次网络信息安全管理和监控平台的建设主要针对内网进行。
内网是XXXX机关内部办公网,目前网络覆盖整个XXXX的各个办公楼层。内网是涉密网络,与互联网物理隔离。
内网网络骨干采用ATM技术,为双星型结构。由两台三层交换机作为核心,两台核心交换机采用串行双连接模式,核心数据交换能力为2*622M。每个楼层设备间配备一台楼层交换机,通过622M光纤线路与一台核心交换机单路相连。同时楼层交换机作为骨干网的边缘,通过LANE技术实现ATM网到以太网的过渡。终端用户通过100M双绞线连接楼层交换机的以太网端口。内网所有服务器集中部署在中央机房,单链路100M连接核心交换机。
内网采用静态地址,按楼层、司局、服务器和管理网段等进行划分。
内网目前部署了防火墙、入侵检测系统、防病毒系统、漏洞扫描系统、安全审计系统等安全设备和软件。
内网现有用户数约1200人。
三、用户需求分析
终端安全管理需求
XXXX网络经过了长期的发展,计算机的硬件配置多样化,操作系统多样化,应用系统多样化。随着网络系统的不断发展,基于微软操作系统漏洞的病毒和攻击层出不穷,不断爆发的网络病毒的危害性越发凸显出来,严重影响了XXXX网络应用。针对以上具体情况,加强XXXX内网的计算机终端安全、统一计算机终端的管理已经势在必行。
具体来说,在终端安全管理方面的需求主要包括:
★ 及时发现终端设备的操作系统和重要应用软件的漏洞并自动分发安全补丁,减少被攻击的可能。
★ 有效管理终端资产,保障终端设备正常运行,提供非法改变报警。
★ 防范内网终端设备非法外联。
★ 防范外来的移动终端非法接入内网。
★ 防范内部涉密重要信息的泄露。
★ 及时发现网络中占用大量网络带宽或产生异常网络流量的终端,并及时阻断。
★ 对移动存储设备的使用进行管理,防止通过移动存储设备泄密或染毒。
★ 通过批量设置计算机的安全保护措施提高桌面计算机的安全性。
★ 进行批量的软件分发和安装,提高运行维护效率。
★ 特定计算机的IP地址保护。
★ 在全网制订统一的安全策略并实时评估计算机的安全状态是否符合管理规定,阻断安全风险大的计算机与网络连接,并向管理员报警。
★ 出现安全问题后,可以快速有效的定位有问题的IP/MAC/主机名,找出网络中病毒、蠕虫、黑客的引入点,及时、准确的切断安全事件发生点和网络。
内网网络和信息安全监控需求
主流的安全产品如防火墙、入侵检测、防病毒软件等都是从某一局部去解决安全问题,相互之间是独立、分散管理的,这种状况不仅增加了管理成本和难度,而且无法对安全问题、安全隐患进行综合分析,不符合安全整体架构思想,无法为用户提供动态、全局的安全状态分析。
鉴于XXXX内网信息系统中已经部署了很多的安全产品,如何从整体安全的角度出发,为信息安全管理提供决策依据和管理手段,解决采用多种相互独立的安全产品及安全技术所带来的管理混乱局面,降低网络安全管理的复杂性就显得尤为重要。
因此在XXXX内网中需要通过一定的技术手段,建立全网的集中安全管理与监控平台,实现以下基本需求:
★ 在核心位置对整个网络系统中各类设备和软件所产生的安全事件信息进行集中分析,改变信息孤立,管理困难的局面,从而实时地掌握网络中各个部门、各个网段、各个应用系统的安全风险,及时发现和处理安全事故,将风险影响程度降到最低,并减少响应时间。
★ 分析和评估构成网络系统的各类关键资产的风险和价值,并通过对这些关键资产的实时监控,以及对资产所产生的事件进行风险分析和处理,从而维护网络中各种资产的安全性和网络整体安全性。
★ 在规范统一的平台上有机整合各种安全产品及技术,建立完善的安全预警、响应、处理、恢复及防护机制,使网络中所部署的各类安全系统能够有效互动和统一协调地工作,最大化发挥安全系统的效能。
★ 将技术因素与管理因素同时结合到企业的安全管理中,深入保护用户应用。
★ 实时了解自身安全状况和安全动态,及时发出预警信息。
★ 安全事件发生后,确诊网络故障的原因或感染源/攻击源。
★ 不断积累和丰富专家库、知识库,协助安全管理员去监控,分析,解决问题。
★ 最终的目标是最大程度的减少发生网络安全事故、减少由于网络安全事故造成的损失或者避免发生网络安全事故。
符合政策要求的需求
国信办于2003年颁布的中办[2003]27号文件(《国家信息化领导小组关于加强信息安全保障工作的意见》):
“四、建设和完善信息安全监控体系
信息安全监控是及时发现和处置网络攻击,防止有害信息传播,对网络和系统实施保护的重要手段。基础信息网络的运营单位和各重要信息系统的主管部门或运营单位要根据实际情况建立和完善信息安全监控系统,提高对网络攻击、病毒入侵、网络失窃密的防范能力,防止有害信息传播。”
四.安全总体建议
建议在XXXX内网中建立一套集中的安全管理平台,灵活地结合XXXX自身业务流的特点,识别和管理组成XXXX内部IT基础架构的关键信息资产,指导用户制订全局安全策略,通过有效整合XXXX内部安全资源,依据智能的辅助决策系统和安全知识库内容,实施以风险控制为核心的安全事件管理、安全风险管理、安全报警响应、专家建议以及终端安全管理等一系列安全管理活动,从而保证XXXX内网信息系统正常运行和持续性发展。
该平台主要包括两个方面的功能:
★ 终端安全管理
对局域网内部终端的网络行为进行全面集中监管,检测和维护桌面系统的安全。
★ 网络和信息安全监控
集中监控、分析和管理XXXX网络信息系统整体安全态势,对潜在的攻击征兆进行预警,对安全事件提供及时的响应和处理,实现闭环的、持续改进的安全管理。
推荐采用天融信公司的网络卫士安全管理系统(TSM),它是根据天融信可信网络架构(TNA)的思想,构建的开放型的安全管理平台,由TopAnalyzer安全信息管理系统、TopDesk终端管理系统、报表管理系统、认证管理系统以及资产管理系统等组件共同构成。
五、安全管理平台部署
在XXXX网络中,我们通过部署天融信公司的网络卫士安全管理系统(TSM),结合XXXX内网信息系统业务流的特点,识别和管理组成内部IT基础架构的关键信息资产,制订统一的信息安全策略,在规范统一的平台上有机整合系统内部各种安全资源,实施集中的终端安全管理、安全事件管理、安全风险管理等一系列安全管理活动,并通过统一的安全报表、安全报警响应以及安全事件处理流程,实现XXXX内网桌面计算机系统的安全管理和集中的网络信息安全监控,保证XXXX内网信息系统正常运行和持续性发展。
TSM安全管理系统在XXXX网络中的部署方式如下图所示:
TSM包括五个主要功能组件:TopAnalyzer、TopDesk、资产管理系统、认证管理系统以及报表管理系统。其中TopAnalyzer和TopDesk是TSM的两个核心组件,资产、认证、报表这三个系统作为基本组件和数据库系统以及基于WEB的门户管理系统共同构成了TSM的系统支撑平台。
六、安全建设效果
天融信终端安全管理系统TopDesk负责对局域网内部终端的网络行为进行全面集中监管,保障XXXX内部网络用户终端的桌面系统安全。TopDesk依据统一的企业安全策略,进行对终端桌面的安全监管、行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,通过和TopAnalyzer及TSM其他组件的互动,实现对XXXX网络内部桌面系统的管理和维护,从而有效地保护XXXX内网信息系统安全和涉密数据安全。
天融信安全信息管理系统TopAnalyzer负责监控、分析和管理XXXX网络信息系统整体安全态势。TopAnalyzer通过采用不同技术和手段收集和整合网络中各类安全事件,采用实时关联分析技术和智能推理技术,实现对安全事件的深度分析,对安全事件提供及时智能的响应和处理,对潜在的攻击征兆进行预警,最终对XXXX网络和信息资产实现闭环的、持续改进的集中安全监管。
资产管理系统负责集中管理企业内部所有的信息资产。
认证管理系统负责提供基于角色的用户管理和系统平台的单点登陆功能。
报表管理系统负责生成和统一管理系统产生的各类分析报表。
数据库系统用于存放系统收集的海量安全事件信息和报警信息等。
WEB门户系统负责提供TopAnalyzer服务器和认证用户(使用WEB浏览器)间的交互。